新闻资讯
全部分类

勒索软件LockFile滥用PetitPotam漏洞,控制AD网络服务器

  • 分类:行业洞察
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-08-31 11:06
  • 访问量:

【概要描述】

勒索软件LockFile滥用PetitPotam漏洞,控制AD网络服务器

【概要描述】

  • 分类:行业洞察
  • 作者:天地和兴
  • 来源:
  • 发布时间:2021-08-31 11:06
  • 访问量:
详情

 

【编者按】赛门铁克揭露了新型勒索软件LockFile的攻击活动,攻击者首先通过Exchange邮件服务器入侵受害企业,接着攻击存在PetitPotam漏洞的AD网络服务器,从而在企业内部感染勒索软件。

新的勒索软件攻击大肆滥用近期公开的重大漏洞,使得企业与组织难以招架。赛门铁克研究人员820日披露了一起名为LockFile的勒索软件攻击行动,其中攻击者先是通过微软Exchange邮件服务器获得对受害者网络的访问权限,入侵企业内部网络环境,接下来使用没有完全修补的PetitPotam漏洞(CVE-2021-36942)控制AD网络服务器,并感染内网电脑。目前尚不清楚攻击者如何获得对微软Exchange服务器的初始访问权限。

LockFile勒索软件是赛门铁克最早在720日发现的,受害者是美国的金融组织,最新的攻击活动出现于820日,目前至少有10个组织遭到LockFile攻击,受害组织遍及全世界,但大多数位于美国及亚洲。LockFile的受害者组织类型包括制造业、金融服务、工程公司、法务公司、商业服务、以及旅游业等。


 

对于攻击者的身份,赛门铁克表示,根据黑客留下来的勒索信件,攻击者使用的电子邮件地址contact@contipauper[.]com显示与黑客组织Conti有关。而这个勒索信件也与日前攻击大型IT顾问公司埃森哲的LockBit极为相似。

 

一、攻击者先入侵Exchange服务器,再利用AD网络服务器传播勒索软件

针对于LockFile攻击的过程,攻击者先是入侵Exchange邮件服务器,并下达PowerShell命令,试图使用Wget程序下载文件,但究竟攻击者下载了什么目前还不得而知。在发动勒索软件攻击之前,黑客会维持存取受害组织的网络数日。

直到即将植入勒索软件的前2030分钟,攻击者会在遭到入侵的Exchange邮件服务器上开始部署一组工具,分别是efspotato.exeactive_desktop_render.dll、以及active_desktop_launcher.exe3个文件。

其中,efspotato.exePetitPotam漏洞的滥用工具,疑似来自GitHub上的概念性验证(PoC)工具;而active_desktop_launcher.exe是合法应用程序,是酷狗音乐所推出的动态桌面软件,攻击者将它用来加载恶意程序库active_desktop_render.dll

这个恶意DLL一旦被成功加载,就会企图解密服务器本机上一个名为desktop.ini的文件。如果这个INI文件被成功解密,将会执行Shellcode。赛门铁克目前尚未取得对这个desktop.ini进行分析,从而无法进一步说明过程中执行了哪些行为。

根据赛门铁克的推测,这个加密Shellcode的用途应该就是启动efspotato.exe,滥用PetitPotam漏洞攻击AD网络服务器。虽然微软已于8月的例行修补提供了修补程序,但随后有研究人员指出,修补程序并未完全修补这项漏洞,而能够在已经安装修补程序的Windows服务器上重现。

一旦成功存取AD网络服务器,攻击者就会在网络服务器的指定文件夹中部署LockFile勒索软件相关文件。该文件夹路径的sysvol\domain\scripts,就是所有的网络使用者向网络控制器执行身份验证时,用来部署指令码Script的文件夹。只要电脑使用者登入网络,电脑就会复制LockFile的文件并且执行,同时将电脑的进行文件加密。

 

 

二、攻击者入侵利用的是Exchange重大漏洞ProxyShell

目前尚不清楚攻击者是如何获得对微软 Exchange服务器的初始访问权限的。本次攻击行动仍有多处细节仍不明朗,尤其是攻击者入侵Exchange服务器的手法,仍有待调查。不过,有研究人员根据蜜罐所收集的情报,指出LockFile攻击者就是利用了ProxyShell漏洞来下手。

ProxyShellCVE-2021-34473CVE-2021-34523CVE-2021-31207三个漏洞的统称,未经身份验证的远程攻击者可通过利用这些漏洞在Microsoft Exchange服务器上执行代码。

研究人员Kevin Beaumont821日指出,他的蜜罐在813日侦测到滥用ProxyShell漏洞的攻击行动,黑客试图在蜜罐植入Webshell,而且多数防毒软件无法识别这个Webshell档案有害。这个攻击引起Kevin Beaumont注意的原因就是攻击来源IP位址与赛门铁克揭露的一致。

事隔3日,Kevin Beaumont观察到黑客再度入侵蜜罐,并且下达新的攻击命令与植入LockFile文件。也就是说,攻击者最初入侵Exchange服务器的手段,就是滥用ProxyShell漏洞。


 

针对这项发现,Kevin Beaumont指出,虽然这组漏洞微软已于4月发布修补程序,但相较于另一组在3月修补的重大漏洞ProxyLogon,他认为攻击者滥用ProxyShell的门槛较低,而且大型组织很可能还没有安装补丁程序,从而导致攻击者能轻易入侵Exchange服务器。而对于ProxyShell已被黑客大肆滥用的现象,也使得美国CISA821日紧急发布警报,警告管理员要尽快修复被积极利用的本地Microsoft Exchange服务器的ProxyShell漏洞。

对于LockFile勒索软件攻击滥用ProxyShell漏洞的行为,也有另一家网络安全公司TG Soft揭露他们的看法,并公布了攻击流程图,指出攻击者在使用了efspotato.exe之后,使用了Vatet Loader来加载渗透测试工具Cobalt Strike,进而变更群组原则来散布勒索软件LockFile

 

  

参考资料:

1https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/lockfile-ransomware-new-petitpotam-windows

2https://doublepulsar.com/multiple-threat-actors-including-a-ransomware-gang-exploiting-exchange-proxyshell-vulnerabilities-c457b1655e9c

3https://www.ithome.com.tw/news/146406

 

相关文件

暂时没有内容信息显示
请先在网站后台添加数据记录。
天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号